1、首先浅谈一下目录结构

drwxr-xr-x意思如下：第一位表示文件类型。
d是目录文件，l是链接文件，-是普通文件，p是管道。后面的分三个三个来看，即 rwx 、r-x 、r-x。
第一个： root ：r 是可读，w 是可写，x 是可执行，
rwx 意思是可读可写可执行。
第二个： 一般用户（用户组）：r-x 是可读可执行不可写。
第三个： 其他用户，r-x 是可读可执行不可写。
综合起来就是权限设置为：
文件所有者（root）可读可写可执行，与文件所有者同属一个用户组的其他用户可读可执行，其它用户组可读可执行

2、什么是三权

三权：弃用超级管理员supadmin 分配三个不同角色的账户 负责 授权、审计、管理的作用

1）系统管理员（配置）：主要负责系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

（2）审计管理员（审计）：主要负责对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。

（3）安全管理员（授权）：主要对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。

 3、创建系统管理员账户设置密码

useradd web
passwd  web

 创建组webgroup：业务可能存在多个开发工程师 

groupadd webgroup
usermod -G webgroup web
chown -R web:webgroup /var/www/html/

设置目录权限业务目录

chmod 741 /var/www/html/

4、创建安全管理员

useradd -d /etc anquan
passwd anquan

只允许anquan用户访问/etc
chown -R anquan:anquan /etc

5、日志审计员

useradd shenji
passwd  shenji
shenji用户只有查看权限
vim /etc/sudoers
shenji     ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head

chown -R shenji:shenji /var/log
chmod 700 /var/log

6、FAQ遇到的问题

 CentOS终端界面变成-bash-4.2$解决办法

原因：用户user的家目录下文件丢失导致，缺少下面2个文件bash_profile bashrc

1、切换到有故障的用户

su - user

2、复制/etc/skel 里面的模板到当前用户

cp /etc/skel/.bash*  ~

exit重新切换即可！

如何查看账户在那个组里面

[root@localhost /]# groups web
web : web webgroup